Annexe – Intégration SAML pour Microsoft Entra ID

Tenable OT Security prend en charge l'intégration avec Microsoft Entra ID via le protocole SAML. Cela permet aux utilisateurs Azure qui ont été affectés à Tenable OT Security de se connecter à Tenable OT Security via SSO. Vous pouvez utiliser le mappage de groupe pour attribuer des rôles dans Tenable OT Security en fonction des groupes auxquels les utilisateurs sont attribués dans Azure.

Cette section explique le processus complet de configuration d'une intégration d'authentification unique (SSO) de Tenable OT Security avec Microsoft Entra ID. La configuration implique la mise en place de l'intégration en créant une application Tenable OT Security dans Microsoft Entra ID. Ensuite, vous devrez saisir des informations sur votre application Tenable OT Security nouvellement créée, puis charger le certificat de votre fournisseur d'identité à la page SAML de Tenable OT Security, et enfin mapper les groupes de votre fournisseur d'identité aux groupes d'utilisateurs dans Tenable OT Security.

Pour mettre en place la configuration, vous devez être connecté en tant qu'utilisateur administrateur dans Microsoft Entra ID et Tenable OT Security.

Étape 1 – Création de l'application Tenable dans Microsoft Entra ID

Pour créer l'application Tenable dans Microsoft Entra ID :

  1. Dans Microsoft Entra ID, accédez à Microsoft Entra ID > Applications d'enterprise, cliquez sur + Nouvelle application pour afficher Parcourir la galerie Microsoft Entra ID, puis sur + Créer votre propre application.

    Le panneau latéral Créer votre propre application apparaît.

  2. Dans le champ Quel est le nom de votre application ?, saisissez un nom pour l'application (par exemple, Tenable OT Security), sélectionnez l'option par défaut Intégrer une autre application que vous ne trouvez pas dans la galerie, puis cliquez sur Créer pour ajouter l'application.

Étape 2 – Configuration initiale

Cette étape est la configuration initiale de l'application Tenable OT Security dans Azure, consistant à créer des valeurs temporaires pour l'identifiant et l'URL de réponse de la configuration SAML de base, afin de permettre le téléchargement du certificat requis.

Remarque : seuls les champs spécifiés dans cette procédure doivent être configurés. D'autres champs peuvent conserver leurs valeurs par défaut.

Pour réaliser la configuration initiale :

  1. Dans le menu de navigation de Microsoft Entra ID, cliquez sur Authentification unique, puis sélectionnez SAML comme méthode d'authentification unique.

    L'écran Authentification basée sur SAML apparaît.

  2. Dans la section 1 – Configuration SAML de base, cliquez sur Modifier .

    Le panneau latéral Configuration SAML de base apparaît.

  3. Dans le champ Identificateur (ID de l'entité), saisissez un identifiant temporaire pour l'application Tenable (par exemple, tenable_ot).

  4. Dans le champ URL de réponse (URL du service consommateur d'assertion), saisissez une URL valide (par exemple, https://tenable.otTenable OT Security).

    Remarque : l'identifiant et l'URL de réponse seront modifiés plus tard dans le processus de configuration.

  5. Cliquez sur Enregistrer pour enregistrer les valeurs temporaires et fermer le panneau latéral Configuration SAML de base .

  6. Dans la section 4 – Configurer, cliquez sur l'icône de copie pour copier l'identifiant Microsoft Entra ID.

  7. Accédez à la console Tenable OT Security et à Utilisateurs et rôles > SAML.

  8. Cliquez sur Configurer pour afficher le panneau latéral Configurer SAML , puis collez la valeur copiée dans le champ ID IDP.

  9. Dans la console Azure, cliquez sur l'icône pour copier l'URL de connexion.

  10. Revenez à la console Tenable OT Security et collez la valeur copiée dans le champ URL IDP.

  11. Dans la console Azure, dans la section 3, Certificats SAML, pour Certificat (Base64), cliquez sur Télécharger.

  12. Revenez à la console Tenable OT Security et sous Données de certificat, cliquez sur Parcourir, puis accédez au fichier de certificat de sécurité et sélectionnez-le.

  13. Dans la console Azure, dans la section 2 – Attributs et revendications, cliquez sur Modifier .

  14. Sous Revendications supplémentaires, sélectionnez et copiez l'URL du nom de la revendication qui correspond à la valeur user.userprincipalname.

  15. Revenez à la console Tenable et collez cette URL dans le champ Attribut de nom d'utilisateur.

  16. Dans la console Azure, cliquez sur + Ajouter une revendication de groupe pour afficher le panneau latéral Revendications de groupe, et sous Quels groupes associés à l'utilisateur doivent être retournés dans la revendication ? Choisissez Tous les groupes et cliquez sur Enregistrer.

    Remarque : si des paramètres de groupes sont activés dans Microsoft Azure, vous pouvez choisir Groupes attribués à l'application au lieu de Tous les groupes. Dans ce cas, Azure fournit uniquement les groupes d'utilisateurs qui sont attribués à l'application.

  17. Sous Revendications supplémentaires, mettez en surbrillance et copiez l'URL du nom de la revendication associée à la valeur user.groups [All].

  18. Revenez à la console Tenable et collez cette URL dans le champ Attribut des groupes.

  19. Pour ajouter une description de la configuration SAML, saisissez-la dans le champ Description.

Étape 3 – Mappage des utilisateurs Azure aux groupes Tenable

Dans cette étape, les utilisateurs Microsoft Entra ID sont assignés à l'application Tenable OT Security. Les autorisations accordées à chaque utilisateur sont désignées par mappage entre les groupes Azure auxquels ils sont affectés et un groupe d'utilisateurs Tenable OT Security prédéfini, auquel est associé un rôle et un ensemble d'autorisations. Les groupes d'utilisateurs prédéfinis de Tenable OT Security sont les suivants : Administrateurs, Utilisateurs en lecture seule, Analystes sécurité, Gestionnaires de sécurité, Opérateurs de site et Superviseurs. Pour plus d'informations, voir Utilisateurs et rôles. Chaque utilisateur Azure doit être affecté à au moins un groupe mappé à un groupe d'utilisateurs Tenable OT Security.

Remarque : les administrateurs connectés via SAML sont considérés comme des administrateurs (externes) et ne bénéficient pas de tous les privilèges des administrateurs locaux. Les utilisateurs affectés à plusieurs groupes d'utilisateurs reçoivent les autorisations les plus élevées possibles parmi leurs groupes.

Pour mapper des utilisateurs Azure à Tenable OT Security :

  1. Dans Microsoft Azure, accédez à la page Utilisateurs et groupes et cliquez sur + Ajouter un utilisateur/groupe.

  2. Sur l'écran Ajouter une attribution, sous Utilisateurs, cliquez sur Aucune sélection.

    Le panneau latéral Utilisateurs apparaît.

    Remarque : si des paramètres de groupes sont activés dans Microsoft Azure et que vous avez précédemment sélectionné Groupes attribués à l'application au lieu de Tous les groupes, vous pouvez choisir d'attribuer des groupes plutôt que des utilisateurs individuels.

  3. Recherchez et cliquez sur tous les utilisateurs souhaités, puis cliquez sur Sélectionner, puis sur Attribuer pour les affecter à l'application.

    La page Utilisateurs et groupes apparaît.

  4. Cliquez sur le nom d'affichage d'un utilisateur (ou groupe) pour afficher le profil de cet utilisateur (ou groupe).

  5. Sur l'écran Profil, dans la barre de navigation de gauche, sélectionnez Groupes pour afficher l'écran Groupes.

  6. Sous ID d'objet, mettez en surbrillance et copiez la valeur du groupe qui sera mappé à Tenable.

  7. Revenez à la console Tenable OT Security et collez la valeur copiée dans le champ ID d'objet de groupe souhaité (par exemple, ID d'objet de groupe d'administrateurs).

  8. Répétez les étapes 1 à 7 pour chaque groupe à mapper à un groupe d'utilisateurs distinct dans Tenable OT Security.

  9. Cliquez sur Enregistrer pour enregistrer et refermer le panneau latéral.

    L'écran SAML apparaît dans la console Tenable OT Security avec les informations configurées.

Étape 4 – Finalisation de la configuration dans Azure

Pour finaliser la configuration dans Azure :

  1. Sur l'écran Tenable OT Security SAML, sous ID de l'entité, cliquez sur l'icône de copie.

  2. Basculez vers l'écran Azure et cliquez sur Authentification unique dans le menu de navigation de gauche pour ouvrir la page Authentification basée sur SAML.

  3. Dans la section 1 – Configuration SAML de base, cliquez sur Modifier et collez la valeur copiée dans le champ Identificateur (ID de l'entité) en remplaçant la valeur temporaire que vous avez saisie précédemment.

  4. Revenez dans l'écran Tenable OT Security SAML, puis cliquez sur l'icône de copie sous URL.

  5. Dans la console Azure, et dans le panneau latéral Configuration SAML de base, sous URL de réponse (URL du service consommateur d'assertion), collez l'URL copiée en remplaçant l'URL temporaire que vous avez saisie précédemment.

  6. Cliquez sur Enregistrer pour enregistrer la configuration et fermer le panneau latéral.

    La configuration est terminée et la connexion apparaît sur l'écran Applications Azure Enterprise.

Étape 5 – Activation de l'intégration

Pour activer l'intégration SAML, Tenable OT Security doit être redémarré. L'utilisateur peut redémarrer le système immédiatement ou choisir de le redémarrer plus tard.

Pour activer l'intégration :

  1. Dans la console Tenable OT Security, sur l'écran SAML, activez le curseur Connexion unique SAML.

    La fenêtre de notification de redémarrage du système apparaît.

  2. Cliquez sur Redémarrer maintenant pour redémarrer le système et appliquer la configuration SAML immédiatement, ou cliquez sur Redémarrer ultérieurement pour appliquer la configuration SAML au prochain redémarrage du système. Si vous choisissez de redémarrer plus tard, la bannière suivante apparaît jusqu'à ce que le redémarrage soit terminé :

Connexion à l'aide d'une authentification unique (SSO)

Au redémarrage, la fenêtre de connexion Tenable OT Security comporte un nouveau lien Sign in via SSO (Se connecter via SSO) sous le bouton Se connecter. Les utilisateurs Azure qui ont été affectés à Tenable OT Security peuvent se connecter à Tenable OT Security à l'aide de leur compte Azure.

Pour se connecter via SSO :

  1. Sur l'écran de connexion Tenable OT Security, cliquez sur le lien Sign in via SSO (Se connecter via SSO).

    Si vous êtes déjà connecté à Azure, vous êtes dirigé directement vers la console Tenable OT Security, sinon vous êtes redirigé vers la page de connexion Azure.

    Les utilisateurs possédant plusieurs comptes sont redirigés vers la page Microsoft Choisir un compte, où ils peuvent sélectionner le compte souhaité pour la connexion.